« 次期南極観測艦・建造 | トップページ | 堀江メール・民主党野田辞任の方向 »

2006.02.23

Winny・海上自衛隊の機密情報が漏洩

毎日新聞より「海自機密データ:「極秘」暗号書類などネット上に流出
海上自衛隊の「極秘」と書かれた暗号関係の書類や、戦闘訓練の計画表とその評価書など、多数の機密データがネット上に流出していることが、22日分かった。流出した海自情報はフロッピーディスク約290枚分に相当する膨大なもの。約130の自衛艦船舶電話番号や顔写真付きの隊員名簿、非常時連絡網なども含まれており、防衛庁は事実関係について調査を始めた。

情報は、ファイル交換ソフト「Winny(ウィニー)」のネットワークに今月中旬に流出した。ファイルの内容などから、護衛艦「あさゆき」の関係者のパソコンが「暴露ウイルス」に感染したことが原因とみられる。
また、Winny ですか!ですな。
どうも Winny による情報流出について、報道は基本的に分かってないのではないか?と強く思います。

情報漏洩の危険を防ぐために何が必要か?という問題と、情報を扱いやすくするにはどうするか?というのは、基本的にほぼ相反する命題です。
情報で一番扱いやすいのは「誰でもアクセスできるもの」で例えばNTTの電話帳なんてのは扱いやすい方の代表格でしょう。「電話帳を見ると住所が出てるよ」と電話で言うだけで情報の共有が出来ます。

情報を段々と秘密にしていくと、基本的には「アクセスしにくくする」になっていきます。
パスワードを付ける、暗号化する、なんてのはすべてアクセスしにくくするから情報が漏洩しない、という原理で簡単に言えば「情報を金庫に閉まって、カギを掛ける」といったイメージです。

Winny はP2Pソフトの代表格で、ネットワーク上のPCがお互いの情報を直接通信するもので、特別な設備投資などをせずにインターネットを利用できる、と考えると非常に有望な技術です。
しかし、これは上記の「情報を金庫にしまって、カギを掛ける」というのとは正反対に近いことです。

P2Pは自分のPCが情報を外部から取り出せるようにする、つまりサーバー機能を持たせることと同義語です。それだけでかなり高度な注意が必要だと言えます。サーバーを設置して安全に運用することは誰もが簡単にできる、と言ってはまだダメでしょう。

しかし、もっと重要だとわたしが思うのは「基本的にセキュリティをどう考える?」が整理されていないのではないか?と強く思うのです。
このところ行政(自衛隊も含む)からの情報流出に「Winny で」というのが連続しています。その多くが、個人用所有のPCを自宅で使っていた。という例ばかりです。
ごく普通に考えても「個人の用のPCに行政の情報を入れさせるものか?」ですし、まして「自宅でネットを接続して作業する」とはどういうことだ?となります。

言うまでも無く、お役所を初め企業などはネットワークにファイヤーウォールを入れるなどで、ネットワーク全体を管理しているのですから「自宅で同じPCを使う」では何のための設備投資か?となってしまって「意味無いだろう!!」なのです。

問題は
職場外に情報を持ち出すことの問題
個人PCで仕事をすることの問題
情報の機密度に応じて、PCなどを使い分ける必要性
があると考えていますが、これをすべて無視した上に「情報流出の可能性が極めて高い Winny を使った」なのです。
何段階もあるフィルターをすり抜けて最後が Winny だとするのなら、行政などが「なんで情報を持ち出させたのか」や「個人PCで仕事をすること是認して良いのか」という組織の情報セキュリティ・レベルの甘さの問題、だと言えます。

セキュリティの問題はハードウェア・ソフトウェアにお金を掛ければどうにかなる、という問題ではなくて教育・訓練などにこそお金を掛けるべきです。結局は最初に書いた現場が「利便性」=「コストダウン」の追求に傾き過ぎている、ということでしょう。

2月 23, 2006 at 08:10 午前 セキュリティと法学 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/8796773

この記事へのトラックバック一覧です: Winny・海上自衛隊の機密情報が漏洩:

» 漏洩したぞ トラックバック 神北情報局
 よく、このブログにもコメントを付けていただく山本“酔うぞ”洋三さんのブログ酔うぞの遠めがねの2006年2月23日の記事『Winny・海上自衛隊の機密情報が漏洩』が面白かった。さら 続きを読む

受信: 2006/02/23 11:04:48

» 公務員に重要情報を扱わせるべきか トラックバック A day in the life of Nagoya
インターネットへ接続できるPCにはセキュリティソフトの最新バージョンをインストー 続きを読む

受信: 2006/02/24 5:50:23

コメント

私は逆に、教育・訓練で防げるモノでもないと思っています。まぁ、突き詰めると、教育・訓練のコストで得られる効果と、ハード・ソフト的な対策で得られる効果と、どちらが高くて、かつ守ろうとする情報の価値にそれが見合っているのか?という判断になり、一概には言えないはなしではあるんですが。

今回のような流出事件、まずはモラルの問題があります。数々の流出事件は今まで、自宅で仕事をするために‥‥、というパターンでしたが、今回の事件は自宅での業務目的に持ち出されたデータとは思えないんですよね。

つまり、教育しても、持ち出すヤツは持ち出すし、流出させるヤツは流出させてしまうわけです。教育というのはいわば性善説的な対策ですので、どうしても限界があります。

今回の事例で具体的に言うと「持ち出し禁止のルールを、強制できていない」という問題だとわかります。セキュリティのルールの内容を決める段階では、セキュリティと利便性はトレードオフですが、しかし決めてしまったセキュリティルールを強制できないというのは、技術によって解決を目指せる問題です。

で、前置きが長くなりましたが、今やPCからのデータ持ち出しを防ぐソリューションは、少なくありません。今では、金を払えば解決できる問題になっているんですね。今回の場合は価値の高いデータでもあり、そうしたコストを払う価値もあるでしょう。

予算が厳しいのはわかりますが、いくら兵器に金をかけてもその機密が流出したんじゃぁ‥‥。ということで、予算の配分考え直した方がいいよ、ってのが私の感想です。

投稿: わくたま | 2006/02/24 1:06:12

コメントを書く